DFN-CERT-2012-0605 Schwachstelle in der MinGW GnuTLS-Bibliothek [Linux][Fedora]

DFN-CERT-2012-0605 Schwachstelle in der MinGW GnuTLS-Bibliothek [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket mingw32-gnutls

Betroffene Plattformen:

Fedora 16

Durch die fehlerhafte Verwendung der Libtasn1 in MinGW (Minimale
GNU-Umgebung für Windows) bestehen Schwachstellen, die es Angreifern u.a.
ermöglichen, die Anwendung zum Absturz zu bringen.

Die MinGW (Minimale GNU-Umgebung für Windows) verwendet die Bibliotheken
Libtasn1 und GnuTLS.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-1569: Fehlerhafte Verwendung der Libtasn1

Viele Anwendungen, welche die Bibliothek Libtasn1 vor Version 2.12
verwenden, u.a. GnuTLS, verwenden die Funktion asn1_get_length_der() auf
unsichere Weise. Wird der Rückgabewert eben jener Funktion ohne Überprüfung
der Länge des Puffers weiter verwendet, können Speicherzugriffe außerhalb
des allokierten Bereichs und Abstürze der Anwendung auftreten, welche ggf.
von Angreifern ausgelöst bzw. ausgenutzt werden können.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0605/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-March/076699.html

Schwachstelle CVE-2012-1569:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-1569

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben